开放平台中的鉴权的实现

最新推荐文章于 2024-06-24 15:20:08 发布
最新推荐文章于 2024-06-24 15:20:08 发布
阅读量2.6w 收藏 27
点赞数 5
分类专栏: Java 文章标签: 开放平台 鉴权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HEL_WOR/article/details/51660979
版权
本文详细介绍了开放平台中鉴权的实现,基于OAuth2.0协议,阐述了鉴权的必要性、主要角色及流程。讨论了如何通过appkey、code、accessToken和refreshToken建立映射关系,以及接口设计与权限判断的实现策略,强调了在接口交互过程中的验证和超时管理。并以新浪和微信开放平台为例,展示了具体的操作步骤。
摘要由CSDN通过智能技术生成

转载请注明:http://blog.csdn.net/HEL_WOR/article/details/51660979

在描述鉴权和流控之前,可能需要先描述为什么需要搭建开放平台。
开放平台最先由FB推出,而后在2012年左右,国内比较大型的互联网公司都开始搭建自己的开放平台。搭建属于自己的开放平台的原因,一般是以下几点:

1.借助第三方满足用户的零碎需求
2.借助第三方提升自己的影响力
3.作为渠道获得第三方应用带来的红利
4.加深与用户的粘连

OAuth2.0协议是一个协议,不是具体的框架或者实现,这个协议定义了一个流程,保证这个流程的实现相应的保证权限管理的成功。
OAuth2.0中主要规定了三方。

1.第三方程序
2.用户
3.保存用户信息的服务器

OAuth2.0协议出现是为了解决第三方程序可以获取保存在服务器上的用户的信息但用户又能不将自己的账号密码告知第三方程序。
这个过程通过3个流程来实现。

1.第三方程序向平台注册应用,获取AppKey,Appsecret。
2.第三方程序向平台提供的接口1发起请求,平台向用户索要账号密码,验证通过后返回给第三方程序一个code(临时授权码)。
3.第三方程序拿着这个code再次向平台提供的接口2发起请求,并需一同提供AppKey,Appsecret,平台校验通过后返回accessToken,第三方程序就可以拿着这个accessToken开始真正的业务操作了。

code的出现,是为了防止中间人攻击,即,平台需要第三方程序证明是其需要获取用户的信息,而不是拦截下信息的其他程序。
除了accessToken,一些开放平台,比如微信,会一同返回refreshToken,其用来刷新accessToken。

以新浪开放平台和微信开放平台为例,描述鉴权的实现流程.
新浪API:
这里写图片描述

微信API:
这里写图片描述

所以,我们可以定义三个接口:

public String generateRequestToken(String appKey) throws AuthorizeException;

此接口用于获取code

public OpenRefreshToken generateAccessToken(String appKey, final String appSecret, String requestToken) throws AuthorizeException;

此接口用于获取accessToken。
如果参见新浪api和微信api的授权返回值,其分别如下:

新浪API
{
 "accesstoken":"ACCESSTOKEN",
 "expires_in":"1234",
 "uid":"123456"
}
微信API
{
"accessToken":"ACCESS_TOKEN",
"expires_in":"7200",
"refresh_token":"REFRESHTOKEN",
"o
最低0.47元/天 解锁文章
HEL_WOR
关注
  • 5
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 9
    评论
专栏目录
爆炸性!接口鉴权方式及实战案例,这篇文章让你的接口安全像坦克防护!
测试逍遥子的博客
04-02 2237
本文从API Key、Basic Authentication、OAuth和Token四个方面详解了接口鉴权的概念和实现方式,并通过Python代码进行了演示。接口鉴权是保障API安全的重要手段,在API接口的设计应当充分考虑其安全性,以确保数据的保密性、完整性和可靠性。与 OAuth 不同的是,Token 鉴权是由服务端来生成和验证的。通过headers设置X-API-KEY字段即可验证API Key的有效性,如果API Key无效,API会返回 401 Unauthorized 状态码。
对接第三方接口鉴权
t194978的博客
10-30 1019
实际上,攻防之间没有绝对的安全,我们能做的是尽量提高攻击者的成本。相对方案二,方案三的方法相对已经有很大提升了(同样参数不能无限制调用),但是仔细一想,还是有问题,攻击者截获请求以后,还是可以在一定时间窗口内通过重放攻击的方式发送请求。但是,对于对外的接口,我们就不得不重视这个问题,外部接口没有做鉴权的操作就直接发布到互联网无疑是。,发现我们已经实现鉴权的效果,但是每个接口前面都有一大堆鉴权的逻辑,这代码太那啥了。是一样的,未授权系统截获后还是可以通过重放的方式,伪装成认证系统,调用这个接口
接口鉴权方案 jwt
最新发布
qq_36428598的博客
06-24 713
setExpiration(new Date(currentTimeMillis + TOKEN_EXPIRE_MILLIS)) // 设置过期时间。.setIssuedAt(new Date(currentTimeMillis)) // 设置签发时间。.setSigningKey(generateKey()) // 设置签名密钥。@return 0 验证成功,1、2、3、4、5 验证失败。key(按照签名算法的字节长度设置key)5.使用注解在接口上。
SaaS开放平台安全鉴权方式: Oauth鉴权机制及接入说明
行者无疆
10-09 2776
SaaS开放平台鉴权,通常使用Oauth鉴权方式,微信开放平台、淘宝开放平台等都采用了这种鉴权方式。下面介绍一下Oauth鉴权的原理以及如何接入。 1. Oauth是什么 Oauth(开放授权,Open Authorization)是一个开放标准。 允许第三方应用在用户授权的前提下访问户在服务商(平台)那里存储的各种信息。 而这种授权无需将用户提供用户名和密码提供给该第三方网站。 OAu...
开放平台鉴权方式详解:OAuth 2.0、API Key、HTTP Basic Authentication》
weixin_42233867的博客
04-22 4173
当今开放平台已经成为了很多应用程序的核心,如何在保证用户数据安全的前提下,为第三方应用程序提供必要的数据访问权限,是开放平台鉴权方式设计的关键问题之一。本文将从OAuth 2.0API Key和三个方面来介绍开放平台主要鉴权方式。
开放api接口平台鉴权怎么做?
Java后端技术栈
03-24 2445
方式2:拦截器+注解实现
Open API 授权&鉴权机制设计
竹林幽深
04-15 466
基于 OAuth2 建设 Open API 平台授权机制,通过安全标准的方式授权给外部,保证部门应用数据的安全性。OAuth2 定义了4种授权方式,但目前只需要供客户端在后台调用即可,所以仅考虑凭证式授权方式。oauth2_registered_client:spring-security-oauth2-authorization-server 组件依赖的表,记录已注册了的客户端凭证。
集成开放平台接口心基于IdentityServer4的鉴权机制
farway000的博客
09-21 1074
源宝导读:企业数字化生态建设为解决集成多样性和资源统一管理的痛点引入企业级网关,网关作为资源访问的大门,身份认证鉴权是其业务的重之重,本文将介绍企业级网关-天际集成开放平台是如何通过I...
easyopen 接口开放平台.rar
07-14
接口开放平台,为访问者提供统一的URL作为唯一访问入口,参数指定具体接口标识和接口参数。它的优点包括接口规范性、效率、管理能力。接口开放平台可以分为简单的和复杂的两种方式。简单的接口开放平台,由自身...
open-api-project:基于反射实现,高效 java版开放接口统一网关鉴权demo项目
05-10
【描述】提到的"open-api-project"是整个项目的核心,它包含了对开放接口管理和鉴权实现。"open-api-common"子模块是公共的基础配置部分,这部分可能包含了通用的工具类、常量定义、以及一些跨模块共享的组件,...
人脸识别(腾讯AI开放平台)1
08-04
在本文,我们将深入探讨如何使用腾讯AI开放平台进行人脸识别,这是一个基于人工智能技术的应用,能够识别人脸并返回相关信息。以下是一系列详细步骤和技术要点: 首先,我们需要导入必要的库,以便进行接口调用和...
第三方支付身份认证和银行卡鉴权接口文档
10-11
第三方支付身份认证和银行卡鉴权接口文档
国电信物联网开放平台API参考1.5.1.pdf
08-17
总结,国电信物联网开放平台API参考1.5.1为开发者提供了一整套工具,使得他们能够利用这些接口构建高效、安全的物联网应用,实现对各类设备的智能化管理,推动行业的数字化转型。通过不断迭代更新,该平台将持续...
国电信物联网开放平台API19.0参考.pdf
05-14
物联网开放平台通过一套完整的网络架构来支持API服务,允许第三方应用开发者调用这些API来实现设备管理、数据采集、命令下发和消息推送等多种功能。该平台为公共事业、智慧家庭等多个领域提供技术支持,使得开发者...
第三方鉴权
qq_43632987的博客
06-21 191
POST请求,JSON传参(application/json,支持仅url传参)a、 拼接appId和时间戳ts请求参数b、 对json字符串进行Base64编码(参考附录3)c、 使用appKey作为密钥对appKey本身进行AES加密(参考附录1)d、 将经过Base64编码的json参数(参数名:base64JsonBody)和经过AES加密的appKey拼接到(a步骤构建的)请求参数后e、 对(d步骤构建的)请求参数进行MD5摘要计算获取指纹签名(参考附录2)
开放平台实现安全的身份认证与授权原理与实战:简化模式详细解析
禅与计算机程序设计艺术
11-01 135
作者:禅与计算机程序设计艺术 1.背景介绍 在日常生活,我们用手机APP、微信、支付宝等各种数字支付渠道购物、消费,都需要通过第三方的身份认证服务。而现如今互联网大环境下,各类网站也逐渐采用了基于OAuth协议或OpenID协议进行第三方登录,帮助用户实现方便快捷的第三方账号绑定。同时随着云计算、
借auth2.0讨论互联网开发,开放,多平台间合作的鉴权逻辑
fei33423的专栏
08-06 549
理解auth 2.0 *OAuth 2.0 的一个简单解释 *OAuth 2.0 的四种方式 解读业界开放协议 1.AUTHORIZATION_CODE和openUid是通过web返回的,也没有租户私密id.( 其实可以更进一步,可以借鉴支付的方式,服务端将信息加密后传递给B帐号,B网站需要公钥,私钥的保存,这样authorityCode安全性就等同与access_token了,关联在某个租户id上) 2.authorityCode可以关联到指定的接口和数据. ...
第三方接口对接之鉴权
长沙要起风了、
04-24 2480
第三方接口对接 鉴权 记录一次和第三方接口对接的过程。 对接要求 对方的接口做了加密验证,需要将参数进行加密生成一个Signature签名。然后对方也会根据参数做一样的步骤来比对签名是否相等来判断参数是否被篡改或者判断身份是否一致。 对方提供了以下几个参数: accessKey : 和参数进行混合的key accessSecret: 进行base64编码的时候的密码 dateTime : 密钥生...
微信开放平台——第三方平台集成方案(一)
xlgdst的专栏
12-12 1139
公众号开发已经有很长一段时间了,相信大家对公众号的配置,开发设置等已经非常了解,遇到下图 redirect-uri 的问题也不再束手无策了。 但不知大家有没有这样的经历: 1、公司有N+1个公众号需要在自己手上开发 2、有的公众号的管理权限不在自己手上甚至是一堆订阅号,运营不管三七二十一就要想做个活动,获取用户的头像,昵称,时不时还会来一波点赞,投票甚至是付款操作 3、测试环境账号不够用,每次做...
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值